top of page

 

Amenazas

 

¿Cómo se identifican los temas emergentes “amenazas” dentro de la organización?

¿Se clasifican periódicamente los temas de las amenazas para determinar su relevancia dentro de la organización?

¿La evaluación de amenazas se tiene en cuenta en la arquitectura tecnológica específica y la configuración empleada por la organización?

¿Trimestralmente, la función de seguridad interna realiza una evaluación efectiva de las amenazas de TI?

¿Qué porcentaje de estas amenazas están relacionados a la seguridad de la información y las nuevas tecnologías mensualmente?

 

Riesgos

 

¿Cómo se cuantifican los riesgos de TI?

¿Se considera tanto la estimación de su impacto como la de la probabilidad de su ocurrencia?

¿Qué referencias del sector y “mejores prácticas” se utilizan para respaldar estos riesgos?

¿Es efectivo el conjunto de controles preventivos, de detección y correctivos?

¿Posee personal con preparación necesaria  para realizar las tareas asignadas?

¿Tiene el departamento un  programa de aseguramiento y mejora  en los procesos TI?

 

Controles

 

¿Se han documentado las áreas de responsabilidad del director de TI (CIO, en inglés)?

¿Se han implementado estructuras de control y normas de TI dentro de la organización?

¿Si es así, cuáles?

¿Se han asegurado lógica y físicamente los equipos y herramientas de la infraestructura de TI?

¿Se usan mecanismos de control para el acceso y la autenticación?

¿Se ha implementado un software antivirus y se realiza su mantenimiento?

¿Se ha implementado una tecnología de filtros de seguridad conforme a la política de la empresa (por ejemplo, en lo lugares de conexiones externas, como Internet, y en los lugares donde se necesita una separación entre redes internas)?

  •  

     

     

     

     

     

     

     

bottom of page